Un fallo crítico en QNX pone en peligro a más de 200 millones de coches y a equipamiento en hospitales: Blackberry escurrió el bulto

Javier Pastor

¿Qué haríais si descubrís una vulnerabilidad en un software que es parte fundamental de millones de coches (o motos) y dispositivos santiario?En BlackBerry no dijeron ni pío: sabían que su sistema operativo en tiempo real,QNX, podía estar afectado, pero prefirieron negar cualquier problema.

Meses después las presiones de organismos gubernamentales han hecho que la empresa admita que efectivamente QNX está afectado. La vulnerabilidad permite a un atacante ejecutar código arbitrario en los dispositivos afectados para inutilizarlos, y eso es especialmente grave cuando ese softwareestá instalado en más de 200 millones de coches y también en equipamiento hospitalario.

Solo en versiones antiguas de QNX RTOS, pero…

El problemaafecta a versiones de QNX RTOS de 2012 y anterioresy por lo tanto las versiones modernas del sistema operativo, que como indica elsitio web oficialtienen un amplio alcance en el mundo de la automoción, están a salvo.

Aún así en CISAaseguranque el softwarese usa en un amplio catálogo de productosy de verse comprometidos, eso podría representar “un riesgo creciente para funciones críticas de la nación [estadounidense]”.

De momento no parecen haberse detectado casos de que la vulnerabilidad haya sido explotada, y tampoco la FDA ha detectado problemas entre los fabricantes de equipos médicos que podrían haberse visto afectados.

… el problema está en cómo BlackBerry ha afrontado el problema

La cuestión no es tanto esa (que también)sino la actitud de BlackBerry, que ha escondido el problema y hasta hace poco no ha hecho la llamada “revelación responsable” de información de seguridad y vulnerabilidades.

El pasado mes de abril Microsoft avisó de la presencia deuna vulnerabilidad llamada BadAllocque afectaba a diversas versiones de sus sistemas operativos.El problema era grave, pero en Microsoft trabajaron junto al CISA(Cybersecurity and Infrastructure Security Agency) en EE.UU. para resolverlo yalertara las agencias y organismos de que actualizaran sus sistemas cuando se publicó el parche poco después.

Dos personas cercanas a las discusiones entre BlackBerry y los expertos de ciberseguridad del gobierno de EE.UU. revelaban en Politico cómola empresa inicialmente negó cualquier impacto en sus productos. Sus responsables no creían que BadAlloc afectase a sus productos a pesar de que los expertos de CISA creían que sí.

Precisamente fue la presión de CISA la que hizo que finalmente BlackBerry admitiera que la vulnerabilidad existía.A pesar de ello siguieron sin hacer nada porque no sabían exactamente dónde podría presentarse el problema. La empresa licencia QNX a OEMs, que luego integran ese sistema operativo en dispositivos para sus clientes.

En BlackBerry le dijeron al gobierno que no sabían dónde acababa su software, y que no tenían intención de hacer un anuncio público:la idea era avisar en privadoa los clientes potencialmente afectados.

Finalmente BlackBerryhizo ese anuncio público ayer(ahora parece haber desaparecido, pero es posible recuperarlovía Internet Archive) y a su vez CISA también publicabauna alertaque precisamente estaba centrada en cómo BadAlloc afectaba a QNX RTOS.

La propia BlackBerryanunció en juniocómoQNX RTOS está embebido en 195 millones de vehículosde fabricantes como BMW,Ford, Honda, Mercedes-Benz, Toyota o Volkswagen, pero su alcance es aún mayor y hay otros segmentos en los que este sistema operativo es también fundamental.

Eso es lo que precisamente hace tan peligrosa la actitud de una BlackBerry que debería haber sido mucho más responsable con el problema. COmo explicaba Trey Herr, director de la Cyber Statecraft Initiative del Atlantic Council, “comprar el software es solo el comienzo de la transacción. No es su final”.

Vía |Político